Арестован подозреваемый в создании вируса ILOVEYOU
ZDNet Asia
9 мая 2000 г.
МАНИЛА + В понедельник филиппинское Национальное бюро расследований (НБР) арестовало в связи с делом о вирусе ILOVEYOU 27-летнего банковского служащего.
Полиция подозревает в создании вируса, поразившего на прошлой неделе компьютерные сети во всем мире, включая системы Пентагона, ЦРУ и британского парламента, жителя Манилы сотрудника China Bank Ромела Ламореса (Romel Lamores).
Исполнительный вице-президент местного компьютерного колледжа AMA Рамон Абад (Ramon Abad) рассказал, что это учебное заведение оказывало НБР помощь в поиске источника вируса. По просьбе НБР колледж проверил предоставленный бюро список имен и обнаружил в числе своих студентов два имени из этого списка: один бывший студент был отчислен, а второй заканчивает обучение.
Шеф НБР Федерико Опиньон (Federico Opinion) сказал, что агенты получили ордер на обыск в доме Ламореса после трехдневной работы по сбору свидетельств, указывающих на источник вируса. Во время обыска председатель местного жилищного совета Джил Алнас (Gil Alnas) сообщил репортерам, что следователи арестовали 17 предметов + однако компьютера среди них не было.
Ордер на обыск был выдан в соответствии с законом о доступе к устройствам, который регламентирует использование кодов, номеров счетов и паролей для доступа к различного рода аппаратам. За нарушение этого закона предусматривается наказание в виде тюремного заключения сроком до 20 лет. Власти Филиппин разыскивают также 23-летнюю подругу Ламореса + именно на ее имя зарегистрирован компьютер, к которому ведет след. Она скрылась, но передала записку, обещая объявиться в ближайшие дни.
Женщины чрезвычайно редко бывают замешаны в делах, связанных с компьютерными вирусами. Сотрудник IBM Сара Гордон (Sarah Gordon), собирающая сведения об авторах вирусов, считает маловероятным участие женщины в создании или распространении вируса. гМы беседовали с десятками людей, связанных с созданием компьютерных вирусов, и только в двух случаях женщины имели к этому прямое отношениеё, + пишет Гордон в работе, опубликованной в 1994 году и посвященной характерным чертам авторов вирусов.
Заминка с ордером на обыск
Вирус Love оказался самым разрушительным за всю историю компьютеров. Он очень быстро привел следователей на Филиппины, и в субботу НБР приступила к поиску подозреваемого + студента из семьи, относящейся к среднему классу. Однако до понедельника власти не могли получить ордер на обыск, так как по местным законам компьютерный взлом не является преступлением.
НБР впервые расследует электронное преступление, и у детективов отсутствует опыт в этой области. Возможно, что подозреваемая девушка не при чем, и ее компьютером воспользовались для распространения вируса без ее ведома. По мнению властей, принимая во внимание широкий международный резонанс, который получил данный инцидент, следует ожидать, что настоящий автор вируса уже давно уничтожил всякую информацию, способную навести на его след.
Отчетливый электронный след
Как сообщила газета Washington Post, ФБР обнаружило отчетливый электронный след вируса и было готово арестовать используемые для атаки компьютеры сразу по получении разрешения. По словам Нельсона Бартоломео (Nelson Bartolome), руководителя отдела НБР по борьбе с мошенничеством и компьютерными преступлениями, агенты ФБР США оказали филиппинским властям ощутимую помощь. гОни передали нам технический опыт и примут участие в анализе свидетельств, если мы таковые получимё, + сказал Бартоломео Reuters.
Полученные до сих пор свидетельства включают шесть элементов информации, содержащихся в коде червя ILOVEYOU и загружаемом им компоненте + выведывающем пароль троянце WIN-BUGSFIX.exe:
Явный псевдоним автора spyder.
Адрес электронной почты в теле червя ispyder@mail.com.
Адрес электронной почты, по которому троянец отправляет выведанные пароли: mailme@super.net.ph
Имя Barok.
Фраза i hate go to school.
Имя группы GRAMMERSoft.
Предполагается, что Spyder и есть автор червя. В январе хакер по имени Spyder опубликовал в Интернете программу Barok 2.1, действие которой напоминает действие загружаемого компонента червя Love. Объектный код этого компонента содержит фразу:
"barok... i hate to go to school suck - by spyder @Copyright (c) 2000 GRAMMERSoft Group-Manila, Phils"
Та же самая фраза есть и в Barok 2.1. На самом деле программа WIN-BUGSFIX.exe и удаленный компонент программы Barok 2.1, называемый сервером, отличаются всего четырьмя байтами. Это несомненное доказательство того факта, что автор Barok 2.1 и создатель вируса ILOVEYOU + один и тот же человек, скрывающийся под псевдонимом spyder. Программа Barok 2.1 явно написана специально для вируса. Ее предыдущая версия Barok 2.0, также появившаяся в январе, имеет в коде гсервераё другую строку:
"BAROK -- student of amacc mkt. phils - by: spyder @Copyright (c) 2000 GRAMMERSoft Group"
В субботу шведский эксперт заявил, что автором вируса, по его мнению, является 18-летний немецкий студент, обучающийся в Австралии. Однако представители Федеральной полиции Австралии утверждают, что у них нет никаких данных в пользу этой версии.
Обсуждение статьи
ZDNET Russia
|